Gefahren lauern in jedem Netzwerk. Kein System kann einen 100%igen Schutz garantieren. Aber ein durchdachtes Schutzsystem minimiert die eventuellen

Transkript

1 White paper Hoher Bedarf an IT-Sicherheit im Mittelstand Gefahren lauern in jedem Netzwerk. Kein System kann einen 100%igen Schutz garantieren. Aber ein durchdachtes Schutzsystem minimiert die eventuellen Risiken. Die Vernetzung im lokalen und im globalen Bereich wirft Sicherheitsfragen auf. Kein Unternehmen kann sich heute dem Problembereich Sicherheit mehr entziehen, ohne große Gefährdungen zu riskieren. Neben dem unabdingbaren Schutz aller externen Netzzugänge müssen auch Vorkehrungen zur sicheren Nutzung der Anwendungen über Netzgrenzen hinaus getroffen werden. Authentisierung, Verschlüsselung und Schutz vor importierten Viren seien hier nur als allgemeine Synonyme für den Gesamtkomplex IT-Sicherheit genannt. Generell gilt: Nur wer die Gefahren kennt, kann Strategien zur Abwehr entwickeln. Wer an der Sicherheit spart, setzt nicht nur leichtfertig seine Firma aufs Spiel, sondern auch seine Karriere. Sicherheits-Budgets und -Maßnahmen müssen in Relation zu Risiken und Werten im Unternehmen gesehen werden. Das bedeutet, dass sich die IT-Abteilung von der Vorstellung verabschieden muss, Sicherheit könne man als fertige technische Lösung kaufen. Die grundlegende Sicherheit geschäftskritischer Anwendungen und Geschäftsprozesse muss untersucht werden, so dass man daraus ein vernünftiges Budget für Schutzmaßnahmen ableiten kann. Eine präzise Ausformulierung dieser Richtlinien trägt entscheidend dazu bei, ein an den praktischen Erfordernissen orientiertes Sicherheitskonzept für das betreffende Unternehmen umsetzen zu können. In den Unternehmensrichtlinien müssen alle Anforderungen des Unternehmens über den ordnungsgemäßen Umgang mit Firmeninformationen und Firmen- bzw. Benutzerdaten dargestellt werden. Dies beinhaltet ebenso entsprechende Verfahren zur Verhinderung von Verstößen gegen diese Vorschriften wie auch Maßnahmen als Reaktion auf Verstöße gegen diese Richtlinien. Immer noch gehen die gefährlichsten Angriffe von Schadprogrammen (Viren, Würmern und trojanischen Pferden) aus. Der durch Viren verursachte wirtschaftliche Schaden wird für Zentraleuropa auf einen dreistelligen Millionenbetrag geschätzt. Die Angriffe auf die Unternehmen verursachen zunehmend Datenverluste und durchschnittlich in jedem zwölften Störfall einen Totalausfall des Netzes und aller Dienste. Die Angriffe nutzen inzwischen Phishing- Techniken und ferngesteuerte Computernetze (Botnets) und sind permanent auf der Suche nach Daten und Passwörtern in Unternehmen. Meist folgt dem Diebstahl vertraulicher Informationen ein finanzieller Verlust für das Unternehmen. Wenn es sich dabei um Wirtschaftsspionage handelt, liegen die Schäden in einer Größenordnung von mehreren Milliarden Euro pro Jahr. Es sind die Gefahrenpotenziale technisches Versagen, menschliche Fehler, vorsätzliche Handlungen, organisatorische Mängel und höhere Gewalt, die Vorkehrungen für die IT-Sicherheit erfordern. Die Realisierung eines Sicherheitskonzeptes wird in der Regel immer stufenweise umgesetzt. Daher muss stets geprüft werden, ob eine Maßnahme erforderlich ist, ob die angestrebte Sicherheit erreicht werden kann, SEITE 1

2 ob die entstehenden Einschränkungen der Funktionalität toleriert werden können und ob der notwendige personelle und finanzielle Aufwand vertretbar ist. Besonders zu berücksichtigen sind dabei auch gesetzliche Vorgaben wie beispielsweise der Datenschutz und die Vorgaben der Compliance-Gesetze. Auch sind die jeweiligen Sicherheitsbereiche genau festzulegen. Die Erfahrung zeigt, dass mit der Größe der Bereiche meist auch die Gefahr durch Angriffe von Insidern (Mitarbeitern) wächst. Für alle beteiligten Systeme ist festzulegen, welche Anforderungen an die spezifische Sicherheit bestehen. Unter Umständen ist es notwendig, verschiedene Bereiche unterschiedlicher Sicherheit einzurichten und gegebenenfalls auch Einzelgeräte mit hohen Sicherheitsanforderungen separat zu schützen. Eine Sicherheitsplanung erfolgt immer in Schritten: Durchführung einer Gefahrenanalyse: Welche Systeme müssen besonders gesichert werden? Was sind die Gründe dafür? Unterliegen die zu sichernden Daten besonderen Datenschutzbestimmungen? Wer darf auf Bereiche mit welchen Funktionen zugreifen? Prüfung der Nutzung: Welche Verkehrsbeziehungen sind notwendig? Welche Applikationen werden eingesetzt? Planung der Implementierung: Welche Sicherheitsbereiche sind zu bilden? Wie können Gefahren beseitigt oder wenigstens ausreichend reduziert werden? Der wichtigste Schritt in Richtung eines Sicherheitskonzeptes ist die Formulierung präziser Zielvorgaben. Ausgangspunkt ist eine allgemeine Definition von Funktion und Aufgabe der Datennetze und Computersysteme. Danach werden die gewünschten Dienste und Applikationen festgelegt, und im nächsten Schritt sind die zu erfüllenden Sicherheitsanforderungen festzulegen. Die Zielsetzungen hängen sehr stark von individuellen Gegebenheiten in den jeweiligen Unternehmen ab. Sicherheit ist ein fortwährender Prozess, der mit einer fundierten Konzeption beginnt, durch Produktauswahl und Realisierung von Schutzmaßnahmen umgesetzt und durch eine gute Betriebsorganisation und Überwachung ständig begleitet wird. Kosten-Nutzen-Analyse Eine Kosten-Nutzen-Analyse beschreibt die Risikoreduktion, die quantifizierbaren finanziellen Vorteile und andere erwartete Verbesserungen: Investitionen: Was ist der erwartete Wert hinsichtlich des finanziellen Nutzens, der Wettbewerbsdifferenzierung etc.? Integrität: Wie verbessern sich Verlässlichkeit und Verfügbarkeit im Tagesgeschäft hinsichtlich größerer Vertraulichkeit, Verfügbarkeit und Genauigkeit von Geschäftsabläufen? Versicherung: Wie wird das Risikomanagement hinsichtlich eines genaueren Verständnisses von Gefahren und geeigneter Risikovermeidungsstrategien verbessert? Schadloshaltung: Wie erleichtert eine höhere Sicherheit die Einhaltung gesetzlicher Vorschriften, so dass juristische und finanzielle Risiken für das Personal und andere reduziert werden? In der Vergangenheit war es übliche Praxis, dieser Vielfältigkeit an Bedrohungen mit einer Sicherheitsarchitektur aus mehreren unabhängigen Verteidigungs- bzw. Sicherheitsebenen zu begegnen. Anstatt eine Vielzahl unterschiedlicher Systeme einzusetzen, die jeweils nur einen Teil der oben genannten Funktionen erfüllen, hat underground_8 mit dem MF Security Gateway ein umfassendes Werkzeug für den Mittelstand gegen alle gefährlichen Bedrohungen des Internets entwickelt. Diese Komponente wird im Markt auch als Unified Threat Management (UTM) bezeichnet. Der Begriff UTM definiert sich bei underground_8 wie folgt: SEITE 2

3 AAS (ASIC Accelerated System) Die MF Security Gateway Technologie ist modular aufgebaut: Über spezielle ASICS werden rechenintensive Vorgänge ausgelagert und beschleunigt. Dadurch wird unter anderem das integrierte SPN optimiert. Das ASIC Accelerated System sorgt für eine gleichmäßige und stabile Verteilung der Rechenleistung und garantiert auch unter Höchstlast eine maximale Performance. ASMX (Anti-Spam & Malware-Detection Accelerator) Der Anti-Spam & Malware-Detection Accelerator wehrt wirksam Spam und Malware ab. Zwölfstufige Filtertechniken verhindern Sicherheitsprobleme bereits auf der Verbindungsebene. Wirksamer Außenschutz, zuverlässige Vermeidung von Spam, automatische Updates und laufende Kontrolle vermeiden aktiv Falscherkennungen und sorgen dafür, dass Spam und Malware erst gar nicht bis zum Mailserver durchkommen. DCI (Dynamic Content Inspection) Neue Würmer und Trojaner nutzen Instant Messaging und Web-Spam um sich auszubreiten und finden immer wieder neue Wege in die Unternehmensressourcen. Durch Dynamic Content Inspection werden Web-Kommunikationskontrolle und Viren-Scanning erstmals erfolgreich vereinigt. DLA (Dual Layer Anti-Virus) Die Dual Layer Anti-Virus Technologie arbeitet auf Basis eines äußerst performanten Multi-Threaded Daemon zur zuverlässigen Erkennung von Viren, Trojanern, Rootkits und Spyware. DLA scannt sämtliche bekannte Datei- und Archivformate und wird durch den Up2Date Service laufend aktualisiert. LPC (Less Power Consumption) Less Power Consumption spart nicht nur Betriebskosten sondern, entlastet auch die Umwelt nachhaltig. Dies wird durch eine optimierte Hardware und die konsequente Auswahl von aufeinander abgestimmten energieeffizienten Bauteilen erreicht. PVN (Policy Violation Notification System) Die MF Security Gateway Familie kann mit Hilfe des Policy Violation Notification System für die umfassende Kontrolle der Nutzer die Web-Zugriffe anhand spezifischer Inhaltskategorien filtern. Dies optimiert die Produktivität und sorgt gleichzeitig für die Einhaltung der Compliance-Richtlinien. Zusätzlich bieten MF Security Gateways die Möglichkeit, jegliche Art von Systemmeldungen an die Corporate Design-Richtlinien des betreffenden Unternehmens anzupassen. RMF (Real-Time Mail Flow) Real-Time Mail Flow liefert dem Benutzer in Echtzeit umfassende Informationen über den Absender einer und weist Administratoren auf verdächtigen -Verkehr hin. Der Administrator ist dadurch in der Lage, unverzüglich entsprechende Gegenmaßnahmen einzuleiten oder Fragen zum Verbleib einer zu beantworten. SPN (Simple Private Networking) Simple Private Networking übernimmt die Vernetzung von Niederlassungen, Home Offices und mobilen Netzwerkteilnehmern vollautomatisch. SPN nutzt standardisierte Tunneltechniken und ist in Kombination mit dem, von underground_8 entwickelten, Companion VPN einsetzbar. Stealth Unsichtbarkeit durch Stealth -Technologie bedeutet maximalen Schutz vor IP basierten Angriffen und transparente Integration in bestehende Netzwerke. Somit werden für den Angreifer völlig unsichtbar Malware, Spam und Viren abgewehrt, ohne Rückschlüsse auf die im Netzwerk eingesetzten Sicherheitsmechanismen zu ermöglichen. XC (ExpressConfigure) Die Risiken von Sicherheitslücken durch Konfigurationsfehler und ständig wachsendem Arbeitsaufwand beim Management von IT-Sicherheitssystemen erfordern einen völlig neuen Denkansatz. Mit ExpressConfigure, der ergonomischen Benutzeroberfläche, setzt underground_8 bei der Bedienungssicherheit und -effizienz neue Maßstäbe. SEITE 3

4 Die Konsolidierung der verschiedenen Funktionalitäten auf einem System hat mehrere Vorteile: Kostensenkung: Durch die Verwendung eines Gesamtsystems werden die systemnahen Arbeiten vereinfacht und vereinheitlicht und somit günstiger. Dieser Aspekt der Kostensenkung bezieht sich nicht nur auf die Wartung und Pflege, sondern auch auf die Lizenzen und Hardwarekosten. Bessere Integration der verschiedenen Dienste: Durch die Konsolidierung der verschiedenen Dienste auf ein System wird die Integration untereinander verbessert. Die Unternehmen müssen nicht mehr Dienste von unterschiedlichen Herstellern kombinieren. Entlastung der IT-Abteilung: Durch die bessere Integration der verschiedenen Funktionalitäten ist die Möglichkeit gegeben, alle Funktionen des Sicherheitssystems über eine zentrale Oberfläche zu verwalten. Die IT-Abteilung muss nur noch für ein System das entsprechende Know-how aufbauen. Green IT: Energieeffiziente Technologien tragen erheblich zur Energieeinsparung und C02-Reduktion bei und entlasten Umwelt und Klima. Die MF Security Gateway Appliances wurden speziell für die Bedürfnisse des Mittelstandes konzipiert. Egal, ob im Unternehmen fünf, zwanzig, hundert oder tausend Mitarbeiter beschäftigt sind: Es gibt für jede Unternehmensgröße eine passende Gateway Appliance. Die von underground_8 entwickelten Systeme schützen den Unternehmenszugang gegen alle Gefahren. Hierfür sind in den Systemen folgende Funktionen integriert: ASMX Wirksamer Schutz gegen Bedrohungen aus dem Internet Spam kostet Produktivität und Geld. Daher ist es unverzichtbar, bereits am Netzwerkeinstiegspunkt eine vollwertige Spam-Filterung zu betreiben. Die MF Security Gateway Serie beherrscht Spam-Filterung für ein- und ausgehenden Mailverkehr (auch für ein latenzabhängiges Protokoll wie z.b. POP3). Diverse Filteroptionen und Konfigurationsmöglichkeiten sorgen dafür, dass s sorgfältig gefiltert und Falschklassifizierungen zu annähernd 100 Prozent vermieden werden. Denial-Of-Service Protection Custom IP Whitelist Custom Blacklist DNSBL Checks Connection-Rate Limits HELO/EHLO Checks Sender-DNS Verification RFC Compatibility Checks Custom Sender Whitelist Custom Sender Blacklist Greylisting Virus Check 1 Virus Check 2 Attachment Extension Filter and Content-Type Filter URIDNSBL Checks SPF Checks heuristic Spam Analysis statistical Spam Analysis Custom User Filters ENVELOPE CONTROL CONTENT ANALYSIS Ein- und ausgehend für POP3/SMTP Spam kann isoliert, markiert oder gelöscht werden Frei definierbarer Spam Tag, Spam Scores und DNS Blacklists Trainingsmöglichkeit für ASMX OCR für Texterkennung in eingebetteten Bildern Spam-Quarantäne mit Suchfunktion White- & Blacklist Editor High Performance White-, Black- & Greylisting auf Datenbankbasis Hochwertige, interaktive, grafische Datenaufbereitung SEITE 4

5 DLA die zertifizierte Anti-Virenlösung von underground_8 underground_8 hat mit DLA einen mehrstufigen Anti-Malware und Rootkit-Scanner entwickelt, der automatisch 1 mit frischen Signaturen auf dem aktuellen Stand gehalten wird. Häufig werden Kommunikationskanäle wie dazu missbraucht, Malware, Keylogger, Rootkits oder andere Schädlinge zu übertragen. Um dies zu vermeiden, verwenden underground_8-produkte eine Kette aus zwei komplett unterschiedlichen Virenscannern, die verhindern, dass solche Schädlinge bis zum Mail-Server in das Netzwerk oder den Client vordringen können. Die DLA -Technologie funktioniert in Echtzeit und erkennt Malware auch in Archiven sicher und zuverlässig. DCI scannt das Netzwerk in Echtzeit, um mit Viren befallene Dateien (auch komprimierte Versionen) oder Datensätze mit anderen Sicherheitsbedrohungen zu erkennen und bietet so einen intelligenten, dateibasierten Schutz vor Viren und Malware. DCI verhindert außerdem, dass Skype, Instant Messaging- und Peer-to- Peer-Filesharing-Programme durch die Firewall hindurch eingesetzt werden. Auf diese Weise werden potenziell gefährliche Hintertüren ins Unternehmensnetzwerk zuverlässig geschlossen. ungefilterter Traffic (HTTP, SMTP, POP3, FTP) sauberer Traffic DLA - Dual Layer Anti-Virus Vorteile Umfassender Schutz vor komplexen Mischangriffen Aktiver Schutz auf Gateway-Ebene Kosteneffiziente und dynamische Anti-Viren- und Anti-Spyware-Lösung Enorm kurze Reaktionszeiten dank dynamisch aktualisierter Viren- und Malware-Signaturen Transparent und unangreifbar in Kombination mit Stealth Technology Zentralisierte Verwaltung zur einfachen Handhabung in verteilten Umgebungen durch Encompass. Maximale Sicherheit, da Signaturen in Kooperation mit mehreren Herstellern erstellt werden Detaillierte Gesamt-Reports in grafisch ansprechender und übersichtlicher Darstellung Effizienter Schutz vor unbekannten Bedrohungen durch Bereitstellung von Viren- und Malware-Signaturen direkt am Gateway Dynamic Content Inspection ist ein wesentlicher Baustein der MF Security Gateway -Architektur und wird kontinuierlich weiter entwickelt. DCI wird unter anderem für HTTP, FTP, SMTP, POP3 verwendet und löst dort folgende Aufgaben: Filtern von ActiveX und/oder Javascript aus angeforderten Webseiten Blockieren von Viren, Spyware oder Trojanern in Webseiten Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten) Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern Blockierung von unerwünschten Anwendungs- Protokollen (z.b. Filesharing) HTTP Filter Normaler and transparenter Proxy Mode für alle Interfaces (u.a. VLANs) Upstream Proxy-Funktion Frei definierbare Cache- und Transfer-Einstellungen HTTP Access Control 1 Mit dem optionalen Up2Date Service von underground_8 werden unsere Gateway-Produkte stündlich mit den neuesten Anti-Viren Signaturen und Application Patterns aktualisiert. SEITE 5

6 User Authentication Lokale Benutzerverwaltung LDAP/Active Directory RADIUS Frei definierbare ACLs für Clients, Webseiten und verschiedene Zeiträume HTTP Content Filter Categorized URL-based Content Filter Interaktive, grafisch aufbereitete HTTP Proxy- Statistiken HTTP Virus Filter White- & Blacklisting-Funktion Mehrstufiger Anti-Viren-Scanner DCI Engine Configuration PVN - Frei definierbare Fehler- oder Informationsseiten bei Verstößen gegen HTTP Policies SOCKS4 Proxy-Unterstützung Next Generation Private Networking Virtual Private Networking (VPN) ist eine der Kernfunktionen unserer Gateway Systeme. Die mobile Kommunikationswelt erstreckt sich bereits weit über Mitarbeiter mit mobilen Firmencomputern hinaus und umfasst inzwischen auch Telearbeiter, freie Mitarbeiter, Partner und Kunden. Die Kommunikation des 21. Jahrhunderts ist durch ein hohes Maß an Flexibilität geprägt. Mit der steigenden Bedeutung mobiler Arbeitsplätze steigt auch der Bedarf an sicheren Lösungen für den Remote-Zugriff auf Unternehmensdaten. Das integrierte SSL VPN von underground_8 ist genau auf diesen Bedarf abgestimmt und bietet eine einfache Lösung für den Zugriff auf Unternehmensressourcen ohne zusätzliche Software auf dem Client am Endpunkt. Dies vermeidet Frustrationen bei Benutzern, die z.b. einen Gastzugang in einem Hotel nutzen wollen und feststellen müssen, dass die Ports für den Zugang eines VPN Clients gesperrt sind. Das MF Security Gateway unterstützt drei verschiedene Einsatzszenarien für VPN: Client-to-Site Site-to-Site Clientless-to-Site Um diese VPN-Varianten auch entsprechend nutzen zu können, wurde mit SPN ein extrem einfach zu bedienendes Tool in das MF Security Gateway integriert, welches die Verbindungen schnell und sicher verfügbar macht. Dabei reicht es z.b. bereits aus, mit XC am Site-to-Site-Endpunkt eine einzige Einstellung zu aktivieren, um den gesamten Datenverkehr einer Filiale durch das VPN zu leiten. SEITE 6

7 Companion VPN Alle Appliances der MF Security Gateway Serie verfügen über die Möglichkeit, Companion VPN für Site-to- Site VPN-Verbindungen mit Fremdherstellern zu nutzen. Dadurch vereinfacht underground_8 die Integration von MF Security Gateways in heterogenen Systemumgebungen. Über IPSEC-basiertes Site-to-Site VPN verbinden wir unsere Appliances schnell und komfortabel mit Fremdprodukten. Die detaillierten Einstellungen für die im Markt am häufigsten anzutreffenden Produkte anderer Hersteller befinden sich bereits auf der Appliance. Simple Nutzung, simplere Verwaltung Die MF Security Gateways von underground_8 bieten beste Bereitstellungsfunktionen, eine intuitive Verwaltung und tragen dazu bei, die Gesamtkosten zu senken. Unabhängig von ihrem Erfahrungsgrad können Administratoren auf einfachste Weise Regeln und Policies erstellen und problemlos verwalten. Alle Appliances der MF Security Gateway Serie verfügen über das innovative XC Web-Interface von underground_8. Die benutzerfreundliche Konfiguration und die Verwaltung dieser Oberfläche helfen dem Anwender durch das Konfigurationsverfahren, so dass die Einrichtung von Netzwerkumgebungen und -szenarien komfortabel erledigt werden kann. Alternativ können die Network Security Appliances von underground_8 auch über das zentrale Encompass Management System verwaltet und Einstellungen dort zentral gespeichert werden. Darüber hinaus ist die Sammlung von lokalen und Remote-Daten über SNMP möglich. In Umgebungen mit vielen Standorten stellt das preisgekrönte SPN von underground_8 den Netzwerkadministratoren ein umfassendes Set an Werkzeugen zur einfachen Konfiguration, Verwaltung von globalen VPN-Sicherheitsrichtlinien, VPN-Optionen und Services zur Verfügung. Mit dem zentralen Encompass Management Center verwalten Service-Provider, MSSPs und Unternehmen zentral underground_8 Security Gateway Systeme auch mit mehreren hunderten Appliances. SEITE 7

8 Encompass stellt sicher, dass Organisationen alle Möglichkeiten für Netzwerksicherheit maximal ausschöpfen und interne Sicherheits-Policies sowie Kosteneffizienz beim Management einhält. Die Encompass Technologie läuft auf einer dedizierten Hardware Appliance und über die web-basierte Benutzeroberfläche können Administratoren sich einen schnellen Überblick über die Sicherheitslage innerhalb eines weltweiten Unternehmensnetzes verschaffen und detaillierte Statusinformationen der einzelnen Geräte abfragen. underground_8 secure computing GmbH assumes no responsibility for any inaccuracies in this document. underground_8 secure computing GmbH reserves the right to change, modify, transfer or revise this publication without notice. AAS, AS, DCI, DLA, LPC, MF, NGTM, PVN, RMF, SPN, Stealth, XC are registered trademarks of underground_8 secure computing GmbH underground_8 secure computing GmbH. All rights reserved. underground_8 secure computing gmbh SEITE 8